等級保護網絡安全測評內容及山石網科應對方案

1、Hillstone山石網科解決方案事業(yè)部 | Hillstone Confidential編寫目的大多數行業(yè)用戶多要做等級保護等級保護建設的關鍵任務是通過測評山石的價值在于提供滿足等保要求的產品從測評內容反觀山石網關能做的事情 | Hillstone Confidential編寫內容依據理解反觀Hillstone山石網科安全網關可為用戶提供的價值用戶等級保護建設的要點用戶等級保護建設結果的考察點 | Hillstone Confidential先看等級保護的基本要求物理安全網絡安全主機安全應用安全數據安全身份鑒別（S）安全標記（S）訪問控制（S）可信路徑（S）安全審計（G）剩余信息保護（S）物

2、理位置的選擇（G）物理訪問控制（G）防盜竊和破壞（G）防雷/火/水（G）溫濕度控制（G）電力供應（A）數據完整性（S）數據保密性（S）備份與恢復（A）防靜電（G）電磁防護（S）入侵防范（G）資源控制（A）惡意代碼防范（G）結構安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（S）入侵防范（G）惡意代碼防范（G）網絡設備防護（G）身份鑒別（S）剩余信息保護（S）安全標記（S）訪問控制（S）可信路徑（S）安全審計（G）通信完整性（S）通信保密性（S）抗抵賴（G）軟件容錯（A）資源控制（A）技術要求Hillstone山石網科安全網關技術可以滿足的部分Hillstone山石網科安全網關技術可以滿足

3、的部分 | Hillstone Confidential等級保護網絡安全要求概述結構安全（7項要求）訪問控制（8項要求）安全審計（4項要求）邊界完整性檢查（2項要求）入侵防范（2項要求）惡意代碼防范（2項要求）網絡設備防護（8項要求）以三級系統為例7個控制點33個要求項 | Hillstone Confidential結構安全（7項）p 結構安全是網絡安全測評檢查的重點，網絡結構是否合理直接關系到信息系統的整體安全p 典型的方法為訪談、檢查兩種手段p Hillstone山石網科安全網關的價值在于提供帶靈活寬管理手段 | Hillstone Confidential結構安全部分a) 應保證主要網

4、絡設備等而業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；p 條款理解n 為了保證信息系統的可用性，主要網絡設備的業(yè)務處理能力應具備冗余空間p 檢查方法n 訪談網絡管理員，詢問主要網絡設備的性能及業(yè)務高峰流量n 訪談網絡管理員，詢問采取何種手段對網絡設備進行監(jiān)控 | Hillstone ConfidentialHillstone山石網科安全網關的狀態(tài)監(jiān)控接口流量監(jiān)控設備狀態(tài)監(jiān)控特色功能：應用和用戶流量監(jiān)控 | Hillstone Confidential結構安全部分b) 應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要；p 條款理解n 對網絡各個部分進行帶寬分配，從而保證在業(yè)務高峰期業(yè)務服務的連續(xù)性p

5、 檢查方法n 詢問當前網絡各部分的帶寬是否滿足業(yè)務高峰期需要n 如果無法滿足業(yè)務高峰期需要，則需進行帶寬分配。檢查主要網絡設備是否進行帶寬分配 | Hillstone ConfidentialHillstone山石網科安全網關的流量控制策略依據特定接口的特定應用制定發(fā)送流量控制規(guī)則依據特定接口的特定應用制定接受流量控制規(guī)則依據特定接口的特定地址制定發(fā)送流量控制規(guī)則依據特定接口的特定地址制定接受流量控制規(guī)則 | Hillstone ConfidentialHillstone山石網科安全網關的流量控制策略依據特定接口/特定用戶/特定應用制定QOS策略支持QOS嵌套特色功能：根據業(yè)務動態(tài)調整帶寬特色

6、功能：根據業(yè)務動態(tài)調整帶寬 | Hillstone Confidential結構安全部分c)應在而業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑p 條款理解n靜態(tài)路由是指由網絡管理員手工配置的路由信息。動態(tài)路由是指路由器能夠自動地建立自己的路由表。n路由器之間的路由信息交換是基于路由協議實現的，如OSPF路由協議是一種典型的鏈路狀態(tài)的路由協議。n如果使用動態(tài)路由協議應配置使用路由協議認證功能，保證網絡路由安全。p 檢查方法n檢查邊界設備和主要網絡設備，查看是否進行了路由控制建立安全的訪問路徑。n查看動態(tài)路由協議是否啟用了“認證碼”的配置 | Hillstone Confidential

7、Hillstone山石網科安全網關支持的路由功能Hillstone山石網科安全網關提供多種路由技術，包括靜態(tài)路由：目的路由、源路由、源接口路由、ISP路由、策略路由，動態(tài)路由：RIPV1/V2、OSPF山石能夠根據具體的應用和用戶指定策略路由，使得對不同應用和不同用戶的訪問控制更加靈活。 | Hillstone Confidential結構安全部分d)應繪制與當前運行情況相符的網絡拓撲結構圖p 條款理解n為了便于網絡管理，應繪制與當前運行情況相符的網絡拓撲結構圖。當網絡拓撲結構發(fā)生改變時，應及時更新。p 檢查方法n檢查網絡拓撲圖，查看其與當前運行情況是否一致。 | Hillstone Conf

8、idential結構安全部分e)應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段p 條款理解n根據實際情況和區(qū)域安全防護要求，應在主要網絡設備上進行VLAN劃分或子網劃分。n不同VLAN內的報文在傳輸時是相互隔離的。如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備實現p 檢查方法n訪談網絡管理員，是否依據部門的工作職能、重要性和應用系統的級別劃分了不同的VLAN或子網。 | Hillstone ConfidentialHillstone山石網科安全網關實現安全域定義與隔離Hillstone山石

9、網科安全網關可將不同的接口定義到不同的安全域上，然后在安全域之間進行隔離與訪問控制；Hillstone山石網科安全網關也可將同一個接口定義到不同的安全子域上，同樣在不同的子域之間進行訪問控制；Hillstone山石網科安全網關還可以將不同的接口定義到一個安全域內，但此時不同接口間的訪問也需要進行訪問控制。 | Hillstone Confidential結構安全部分f)應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段p 條款理解n為了保證信息系統的安全，應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，防止來自外部信息系統的攻擊。n在重

10、要網段和其它網段之間配置安全策略進行訪問控制。p 檢查方法n檢查網絡拓撲結構，查看是否將重要網段部署在網絡邊界處，重要網段和其它網段之間是否配置安全策略進行訪問控制。 | Hillstone ConfidentialHillstone山石網科安全網關實現分域安全防護互聯網電信專線ERP應用服務器ERP數據庫OA應用服務器 OA數據庫網站應用服務器網站數據庫終端主機運維主機終端主機終端主機終端主機移動辦公終端總部分支機構1分支機構2分支機構3網站安全域OA安全域ERP安全域終端安全域運維安全域終端安全域終端安全域終端安全域Hillstone山石網科安全網關Hillstone山石網科安全網關Hil

11、lstone山石網科安全網關Hillstone山石網科安全網關Hillstone山石網科安全網關Hillstone山石網科安全網關Hillstone山石網科安全網關山石安全管理中心網站安全域終端安全域應用系統安全域運維安全域終端安全域終端安全域終端安全域數據中心安全域數據中心安全域應用系統安全域數據中心安全域應用系統安全域 | Hillstone Confidential結構安全部分g)應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網絡發(fā)生擁堵的時候優(yōu)先保護重要主機p 條款理解n為了保證重要業(yè)務服務的連續(xù)性，應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，從而保證在網絡發(fā)生擁堵的時

12、候優(yōu)先保護重要主機。p 檢查方法n訪談網絡管理員，依據實際應用系統狀況，是否進行了帶寬優(yōu)先級分配。 | Hillstone ConfidentialHillstone山石網科安全網關基于業(yè)務的帶寬控制依據特定接口的特定應用制定發(fā)送流量控制規(guī)則依據特定接口的特定應用制定接受流量控制規(guī)則依據特定策略控制QOS優(yōu)先級 | Hillstone Confidential等級保護網絡安全要求概述結構安全（7項要求）訪問控制（8項要求）安全審計（4項要求）邊界完整性檢查（2項要求）入侵防范（2項要求）惡意代碼防范（2項要求）網絡設備防護（8項要求）以三級系統為例7個控制點33個要求項 | Hillstone

13、 Confidential訪問控制（8項）p 訪問控制是網絡測評檢查中的核心部分，涉及到大部分網絡設備、安全設備。這是網絡安全設備必須滿足的p 典型的方法為訪談、檢查兩種手段p 山石網關的價值在于提供靈活的訪問控制策略 | Hillstone Confidential訪問控制部分a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能p 條款理解n在網絡邊界部署訪問控制設備,防御來自其他網絡的攻擊，保護內部網絡的安全。p 檢查方法n檢查網絡拓撲結構，查看是否在網絡邊界處部署了訪問控制設備，是否啟用了訪問控制功能。 | Hillstone Confidential山石網絡邊界隔離與訪問控制方案Hill

14、stone山石網科安全網關作用在不同安全域的邊界，進行隔離與訪問控制措施，對重要業(yè)務進行有效保護。 | Hillstone Confidential訪問控制部分b)應能根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級p 條款理解n在網絡邊界部署訪問控制設備,對進出網絡的流量進行過濾，保護內部網絡的安全。n配置的訪問控制列表應有明確的源/目的地址、源/目的、協議及服務等。p 檢查方法n檢查訪問控制設備，看是否能夠針對/目的地址、源/目的、協議及服務制定訪問控制策略。n查看策略是否可定義禁止和允許訪問的能力。 | Hillstone ConfidentialHillston

15、e山石網科安全網關安全訪問策略Hillstone山石網科安全網關可根據IP地址、安全域、用戶、服務、時間、特征等配置更細粒度的訪問控制策略針對策略還可限定QOS優(yōu)先級、病毒及入侵防御方式等 | Hillstone Confidential訪問控制部分c)應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制p 條款理解n對于一些常用的應用層協議，能夠在訪問控制設備上實現應用層協議命令級的控制和內容檢查，從而增強訪問控制粒度。p 檢查方法n該測評項一般在防火墻、入侵防御系統上檢查。n首先查看防火墻、入侵防御系統是否具有該功能，然后登錄設備

16、查看是否啟用了相應的功能。 | Hillstone ConfidentialHillstone山石網科安全網關應用行為控制技術Hillstone山石網科安全網關支持的ALG（應用網關）技術能夠對常見的應用進行命令級控制 | Hillstone Confidential訪問控制部分d)應在會話處于非活躍一定時間或會話結束后終止網絡連接；p 條款理解n當惡意用戶進行網絡攻擊時，有時會發(fā)起大量會話連接，建立會話后長時間保持狀態(tài)連接從而占用大量網絡資源，最終將網絡資源耗盡的情況。n應在會話終止或長時間無響應的情況下終止網絡連接，釋放被占用網絡資源，保證業(yè)務可以被正常訪問。p 檢查方法n該測評項一般在防

17、火墻上檢查。n登錄防火墻，查看是否設置了會話連接超時，設置的超時時間是多少，判斷是否合理。 | Hillstone ConfidentialHillstone山石網科安全網關會話超時控制技術Hillstone山石網科安全網關除在應用中定義超時時間以外，還支持會話維護功能，可根據會話ID、IP地址、協議、端口、用戶等參數清除指定的會話，也可支持對當前全部會話的清除 | Hillstone Confidential訪問控制部分e)應限制網絡最大流量數及網絡連接數；p 條款理解n可根據IP地址、端口、協議來限制應用數據流的最大流量，還可以根據IP地址來限制網絡連接數，從而保證業(yè)務帶寬不被占用，業(yè)務系

18、統可以對外正常提供業(yè)務。n應在會話終止或長時間無響應的情況下終止網絡連接，釋放被占用網絡資源，保證業(yè)務可以被正常訪問。p 檢查方法n該測評項一般在防火墻上檢查。訪談系統管理員，依據實際網絡狀況是否需要限制網絡最大流量數及網絡連接數。n登錄設備查看是否設置了最大流量數和連接數，并做好記錄。 | Hillstone ConfidentialHillstone山石網科安全網關流量控制技術依據特定接口的特定應用制定發(fā)送流量控制規(guī)則依據特定接口的特定應用制定接受流量控制規(guī)則依據特定策略控制QOS優(yōu)先級 | Hillstone ConfidentialHillstone山石網科安全網關連接數控制技術Hil

19、lstone山石網科安全網關可針對具體的安全域、具體的IP地址、具體的應用、具體的用戶、一定的時間范圍來限制最大會話數和新建會話數（5秒內的）比如：可限制內部用戶在上班時間，每臺終端的并發(fā)會話請求限制為20個，超出部分被丟棄 | Hillstone Confidential訪問控制部分f)重要網段應采取技術手段防止地址欺騙；p 條款理解n地址欺騙在網絡安全中比較重要的一個問題,這里的地址,可以是MAC地址,也可以是IP地址。在關鍵設備上，采用IP/MAC地址綁定方式防止地址欺騙。p 檢查方法n檢查用于訪問控制的設備是否啟用了IP/MAC地址綁定以防止地址欺騙攻擊。 | Hillstone Co

20、nfidentialHillstone山石網科安全網關IP/MAC綁定控制技術Hillstone山石網科安全網關支持手動添加IP/MAC地址綁定，也可支持自動搜索綁定關系及自動綁定。 | Hillstone Confidential訪問控制部分g)應按用戶和系統之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；p 條款理解n對于遠程撥號用戶，應在相關設備上提供用戶認證功能。n通過配置用戶、用戶組，并結合訪問控制規(guī)則可以實現對認證成功的用戶允許訪問受控資源。p 檢查方法n登錄相關設備查看是否對撥號用戶進行身份認證，是否配置訪問控制規(guī)則對認證成功的用戶允許訪問受控資

21、源。 | Hillstone ConfidentialHillstone山石網科安全網關用戶訪問控制技術Hillstone山石網科安全網關支持用戶認證與訪問控制的結合，控制力度可到單個用戶。 | Hillstone Confidential等級保護網絡安全要求概述結構安全（7項要求）訪問控制（8項要求）安全審計（4項要求）邊界完整性檢查（2項要求）入侵防范（2項要求）惡意代碼防范（2項要求）網絡設備防護（8項要求）以三級系統為例7個控制點33個要求項 | Hillstone Confidential安全審計（4項）p 安全審計要對相關事件進行日志記錄，還要求對形成的記錄能夠分析、形成報表p 典

22、型的方法為訪談、檢查兩種手段p 山石網關的價值在于提供安全管理平臺，也可將審計日志提供給第三方SYSLOG | Hillstone Confidential安全審計部分a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；p 條款理解n為了對網絡設備的運行狀況、網絡流量、管理記錄等進行檢測和記錄，需要啟用系統日志功能。系統日志信息通常輸出至各種管理端口、內部緩存或者日志服務器。p 檢查方法n檢查測評對象，查看是否啟用了日志記錄，日志記錄是本地保存，還是轉發(fā)到日志服務器。記錄日志服務器的地址。 | Hillstone ConfidentialHillstone山石網科安全網關設

23、備狀態(tài)監(jiān)控功能 | Hillstone ConfidentialHillstone山石網科安全網關流量監(jiān)控功能 | Hillstone Confidential安全審計部分b)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；p 條款理解n日志審計內容需要記錄時間、類型、用戶、事件類型、事件是否成功等相關信息。p 檢查方法n登錄測評對象或日志服務器，查看日志記錄是否包含了事件的日期和時間、用戶、事件類型、事件是否成功等信息。 | Hillstone ConfidentialHillstone山石網科安全網關日志審計功能Hillstone山石網科安全網關提供的

24、會話日志、NAT日志、上網日志以及NBC日志，并且可通過山石安全管理中心，或導出給第三方進行查詢 | Hillstone Confidential安全審計部分c)應能夠根據記錄數據進行分析，并生成審計報表；p 條款理解n為了便于管理員對能夠及時準確地了解網絡設備運行狀況和發(fā)現網絡入侵行為，需要對審計記錄數據進行分析和生成報表。p 檢查方法n訪談并查看網絡管理員采用了什么手段實現了審計記錄數據的分析和報表生成。 | Hillstone ConfidentialHillstone山石網科安全網關安全管理平臺提供統計和報表Hillstone山石網科安全網關安全管理中心可實現對流量、上網行為、攻擊事件

25、、病毒事件等進行統計，并輸出相關報表給系統管理人員Hillstone山石網科安全網關 | Hillstone Confidential安全審計部分d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等；p 條款理解n審計記錄能夠幫助管理人員及時發(fā)現系統運行狀況和網絡攻擊行為，因此需要對審計記錄實施技術上和管理上的保護，防止未授權修改、刪除和破壞。p 檢查方法n審計記錄能夠幫助管理人員及時發(fā)現系統運行狀況和網絡攻擊行為，因此需要對審計記錄實施技術上和管理上的保護，防止未授權修改、刪除和破壞。 | Hillstone ConfidentialHillstone山石網科安全網關應用行為控制技術

26、獨立的審計服務器，獨立存儲，單獨維護Hillstone山石網科安全網關Hillstone山石網科安全網關安全管理中心此外，Hillstone山石網科安全網關也可通過郵件方式將日志發(fā)送出去。 | Hillstone Confidential等級保護網絡安全要求概述結構安全（7項要求）訪問控制（8項要求）安全審計（4項要求）邊界完整性檢查（2項要求）入侵防范（2項要求）惡意代碼防范（2項要求）網絡設備防護（8項要求）以三級系統為例7個控制點33個要求項 | Hillstone Confidential邊界完整性檢查（2項）p 邊界完整性檢查主要檢查在全網中對網絡的連接狀態(tài)進行監(jiān)控，發(fā)現非法接入、非

27、法外聯時能夠準確定位并能及時報警和阻斷。p 山石網關的價值在于提供802.1X認證，實現準入控制 | Hillstone Confidential邊界完整性檢查部分a)應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；p 條款理解n可以采用技術手段和管理措施對“非法接入”行為進行檢查。技術手段包括網絡接入控制、IP/MAC地址綁定。p 檢查方法n訪談網絡管理員，詢問采用何種技術手段或管理措施對“非法接入”進行檢查，對于技術手段，在網絡管理員配合下驗證其有效性。 | Hillstone ConfidentialHillstone山石網科安全網關提供IP/MAC綁

28、定Hillstone山石網科安全網關支持手動添加IP/MAC地址綁定，也可支持自動搜索綁定關系及自動綁定。 | Hillstone ConfidentialHillstone山石網科安全網關提供802.1X接入認證 | Hillstone Confidential邊界完整性檢查部分b)應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻；p 條款理解n可以采用技術手段和管理措施對“非法外聯”行為進行檢查。n技術手段可以采取部署桌面管理系統或其他技術措施控制。p 檢查方法n訪問網絡管理員，詢問采用了何種技術手段或管理措施對“非法外聯”行為進行檢查，對于技術手段，在網

29、絡管理員配合下驗證其有效性。p 通常做法n通過桌面安全管理系統提供的“非法外聯”監(jiān)控來實現 | Hillstone Confidential等級保護網絡安全要求概述結構安全（7項要求）訪問控制（8項要求）安全審計（4項要求）邊界完整性檢查（2項要求）入侵防范（2項要求）惡意代碼防范（2項要求）網絡設備防護（8項要求）以三級系統為例7個控制點33個要求項 | Hillstone Confidential入侵防范（2項）p 對入侵事件不僅能夠檢測，并能發(fā)出報警，對于入侵防御系統要求定期更新特征庫，發(fā)現入侵后能夠報警并阻斷。p 山石網關的價值在于提供抗攻擊和入侵防御功能，能夠探測并對入侵進行報警和阻

30、斷。 | Hillstone Confidential入侵防范部分a)應在網絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；p 條款理解n當檢測到攻擊行為時，應對攻擊信息進行日志記錄。在發(fā)生嚴重入侵事件時應能通過短信、郵件等向有關人員報警。p 檢查方法n查看在網絡邊界處是否部署了包含入侵防范功能的設備。n如果部署了相應設備，則檢查設備的日志記錄是否完備，是否提供了報警功能。 | Hillstone ConfidentialHillstone山石網科安全網關提供的入侵防范功能Hillstone山石網科安全網關在深度應用識別的

31、技術上，支持超過3000中攻擊特征庫，能夠對主流的攻擊行為進行有效檢測并給予阻斷和報警。并且攻擊特征庫支持自動升級 | Hillstone Confidential入侵防范部分b)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警；p 條款理解n當檢測到攻擊行為時，應對攻擊信息進行日志記錄。在發(fā)生嚴重入侵事件時應能通過短信、郵件等向有關人員報警。p 檢查方法n查看在網絡邊界處是否部署了包含入侵防范功能的設備。n如果部署了相應設備，則檢查設備的日志記錄是否完備，是否提供了報警功能。 | Hillstone ConfidentialHillstone山

32、石網科安全網關提供的攻擊日志與監(jiān)控功能 | Hillstone Confidential等級保護網絡安全要求概述結構安全（7項要求）訪問控制（8項要求）安全審計（4項要求）邊界完整性檢查（2項要求）入侵防范（2項要求）惡意代碼防范（2項要求）網絡設備防護（8項要求）以三級系統為例7個控制點33個要求項 | Hillstone Confidential惡意代碼防范（2項）p 惡意代碼防范是綜合性的多層次的，在網絡邊界處需要對惡意代碼進行防范。p 山石網關的價值在于提供防病毒網關功能，通過病毒流過濾技術，阻斷病毒通過Hillstone山石網科安全網關傳播。 | Hillstone Confiden

33、tial惡意代碼防范部分a)應在網絡邊界處對惡意代碼進行檢測和清除；p 條款理解n計算機病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。在網絡邊界處部署防惡意代碼產品進行惡意代碼防范是最為直接和高效的辦法。p 檢查方法n檢查網絡拓撲結構，查看在網絡邊界處是否部署了防惡意代碼產品。如果部署了相關產品，則查看是否啟用了惡意代碼檢測及阻斷功能，并查看日志記錄中是否有相關阻斷信息。 | Hillstone ConfidentialHillstone山石網科安全網關提供的病毒過濾功能Hillstone山石網科安全網關在深度應用識別的技術上，支持超過10萬種病毒進行有效檢測并給予阻斷和報警。并且

34、攻擊特征庫支持自動升級 | Hillstone Confidential惡意代碼防范部分b)應維護惡意代碼庫的升級和檢測系統的更新；p 條款理解n惡意代碼具有特征變化快，特征變化快的特點。因此對于惡意代碼檢測重要的特征庫更新，以及監(jiān)測系統自身的更新，都非常重要。p 檢查方法n訪談網絡管理員，詢問是否對防惡意代碼產品的特征庫進行升級及具體是升級方式。登錄相應的防惡意代碼產品，查看其特征庫、系統軟件升級情況，查看當前是否為最新版本。 | Hillstone ConfidentialHillstone山石網科安全網關提供的病毒過濾功能Hillstone山石網科安全網關支持病毒庫的自動和手動升級。支持

35、病毒狀態(tài)實時監(jiān)控 | Hillstone Confidential等級保護網絡安全要求概述結構安全（7項要求）訪問控制（8項要求）安全審計（4項要求）邊界完整性檢查（2項要求）入侵防范（2項要求）惡意代碼防范（2項要求）網絡設備防護（8項要求）以三級系統為例7個控制點33個要求項 | Hillstone Confidential網絡設備防護（8項）p 網絡設備的防護主要是對用戶登錄前后的行為進行控制，對網絡設備的權限進行管理。p 山石網關的價值在于提供多種配置管理手段。 | Hillstone Confidential網絡設備防護部分a)應對登錄網絡設備的用戶進行身份鑒別；p 條款理解n對于網

36、絡設備，可以采用CON、AUX、VTY等方式登錄。n對于安全設備，可以采用WEB、GUI、命令行等方式登錄。p 檢查方法n檢查測評對象采用何種方式進行登錄，是否對登錄用戶的身份進行鑒別，是否修改了默認的用戶名及密碼。 | Hillstone ConfidentialHillstone山石網科安全網關登錄方式Hillstone山石網科安全網關管理界面Hillstone山石網科安全網關面板AUXCONHillstone山石網科安全網關管理方式配置管理員認證配置 | Hillstone Confidential網絡設備防護部分b)應對網絡設備的管理員登錄地址進行限制；p 條款理解n為了保證安全，需要

37、對訪問網絡設備的登錄地址進行限制，避免未授權的訪問。p 檢查方法n訪談網絡管理員，查看對管理主機的登錄地址是否進行了限制。 | Hillstone ConfidentialHillstone山石網科安全網關管理主機配置 | Hillstone Confidential網絡設備防護部分c)網絡設備用戶的標識應唯一；p 條款理解n不允許在網絡設備上配置用戶名相同的用戶，要防止多人共用一個帳戶，實行分帳戶管理，每名管理員設置一個單獨的帳戶，避免出現問題后不能及時進行追查。p 檢查方法n登錄網絡設備，查看設置的用戶是否有相同用戶名。詢問網絡管理員，是否為每個管理員設置了單獨的賬戶。 | Hillsto

38、ne ConfidentialHillstone山石網科安全網關管理員配置 | Hillstone Confidential網絡設備防護部分d)主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；p 條款理解n采用雙因子鑒別是防止身份欺騙的有效方法，雙因子鑒別不僅要求訪問者知道一些鑒別信息，還需要訪問者擁有鑒別特征，例如采用令牌、智能卡等。p 檢查方法n訪談網絡設備管理員，詢問采用了何種鑒別技術實現了雙因子鑒別，并在管理員的配合下驗證雙因子鑒別的有效性。 | Hillstone Confidential網絡設備防護部分e)身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要

39、求并定期更換；p 條款理解n為避免身份鑒別信息被冒用，可以通過采用令牌、認證服務器等措施，加強身份鑒別信息的保護。如果僅僅基于口令的身份鑒別，應當保證口令復雜度和定期更改的要求。p 檢查方法n詢問網絡管理員對身份鑒別所采取的具體措施，使用口令的組成、長度和更改周期等。 | Hillstone ConfidentialHillstone山石網科安全網關管理員口令配置Hillstone山石網科安全網關管理員密碼策略 | Hillstone Confidential網絡設備防護部分f)應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；p 條款理解n應對登錄失敗進行處理，避免系統遭受惡意的攻擊。p 檢查方法n訪談網絡管理員，詢問是否有登錄失敗處理措施 | Hillstone ConfidentialHillstone山石網科安全網關管理方式配置 | Hillstone Confidential網絡設備防護部分g)當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；p 條款理解n對網絡設備進行管理時，應采用SSH、HTTPS等加密協議，防止鑒別信息被竊聽。p 檢查方法n檢查是否支持SSH、HTTPS等安全協議管理防火墻設備。 | Hillstone